黑VPN服务商“兵马俑”分析

4 min


来源:《兵马俑 VPN》,演讲者:RSA 威胁情报分析

黑VPN服务商“兵马俑”分析

0×01 什么是兵马俑

VPN 的基础设施和服务面向大陆消费者,使用场景:加速,翻墙,用户匿名访问等等。而“兵马俑 VPN”的特殊之处是,它通过入侵漏洞服务器获得世界各地的结点。 “兵马俑”是中国的一个 VPN 服务商,在全球有 1500 多个节点,绝大部分位于中国、韩国、美国和东欧。有意思的是,这些 VPN 节点大多是由被黑客入侵的 服务器搭建而成。这些服务器的主人大多是 2SA 研究员还惊奇的发现,某些中国 APT 攻击组织如 Deep Panda(深渊熊猫)和 Shell_Crew(Shell 战队)也曾利用“兵马俑”VPN 网络发动网络间谍活动。

2013 年美国劳工部入侵事件就和深渊熊猫有关。

详细,RSA 在今年的 Black Hat 大会上发布了议题 没有证据说明兵马俑归属于某个 APT 组织运作,然而,兵马俑是一个商业服务在中国有很多品牌。类似的服务网上有很多,普遍价格低廉。议题的发布也许会刺激一些利用兵马俑的攻击组织改变策略

*** 墙遁所有服务器全部为自用机房服务器 ***

0×02 兵马俑如何被发现的

在 Derusbi 木马的服务器后门(Shell — — Crew 一直利用着 Derusbi 木马家族在企业网络中建立后门) 经 ram dump 确认找到了 Shell_Crew/Axiom 在敏感目标服务器上的后门,Derusbi 服务器装载了一个携带防火墙钩取的客户驱动,允许监听任意端口,和其他的相同端口网络服务共存(例如 80 端口)

0×03 目标 web 服务器

观察使用者从合法机构(不是中国)控制后门,观察了几个月后 显然,兵马俑从某种程度上来讲很成功,看起来是合法的用户合法的遍历了网络,这种结合的手法更增加了 APT 组织的迷惑性。

此时被黑的“肉鸡”服务器会成为“兵马俑”VPN 网络的一部分,这些被黑的大多属于法律机构、大型工程公司、科技公司、学校、政府机构。

这些合法的 orgs 的共同点:

全是 Windows 服务器 安装了 Windows RRAS 特性,利用网络策略认证抵御中国的 RADIUS 服务器 VPN 账户包括 VPN 的品牌名 泄漏了兵马俑 VPN 的品牌 允许列出详细结点 牵连到更多的受害者

*** 墙遁所有服务器均为 Linux 系统,并不存储任何用户,加密所有连接 ***

0×04 兵马俑征召的服务器


0×05 一个兵马俑 VPN 结点月统计数据

新的成功连接 118948 新的客户端 IPPP 地址 9053 中国大陆客户端 IP 地址 8903(98%) 新的客户端账户名 723(大多数连接用的试用账户) 新的客户主机名 3640

0×06 兵马俑的 VIP 用户们

VPN 日志显示出了一个通用账户,兵马俑客户端不需要的

Wang Jia “testwj”是其中之一,入侵成功后总是第一个登录,专用于测试受害服务器的配置。

一些其他的 VIP 账户像“dgweikunping”则因为一直通过家中同一台电脑名登录而泄漏了他们的地理位址,通常是通过 VPN 链登录。

0×07 招募兵马俑结点过程

招募 VPN 新结点的过程看起来没有任何的花费,这样扩张的结果就是方便了 APT 组织们

调查研究发现,攻击者发现目标 windows 服务器后,会使用暴力破解的方式获得管理员的账号密码并登陆服务器,关闭 windows 防火墙。接下来 攻击者会关闭服务器上所有的反恶意程序,安装一个远程访问木马(远控程序)。部署好上述几步之后,攻击者会创建一个新的账户,安装 VPN 服务。

受害者 Windows 服务器通常都将 TCP 的 135 或 3389 端口暴露在网络中

兵马俑会瞄准有漏洞的 Windows 服务器,因为这个平台的 VPN 服务几分钟就能配置好。

0×08 兵马俑 VPN 的工作流程

用户浏览兵马俑网站-客户端注册帐户-用户客户端软件认证 — 软件上传结点信息 — 用户选择 VPN 结点,云端取回编码的凭证,初始化连接 — VPN 结点认证用户 — 通道建立

15 日中国关停了很多 VPN,但兵马俑还安然无恙。

0×09 所有的 VPN 都在中国封锁了吗?

企业专属的 VPN 没有封锁

公开的 VPN 协议被封锁了 (###################)

Windows 上创建 VPN 的协议普遍没有封锁 — — PPTP 点对点隧道协议 — — L2TP 双层隧道协议 — — SSTP 套接字隧道协议

0x0A 新的发现

默认情况,所有的 Windows VPN 协议使用 MS-CHAPv2 认证,但是太多例子表明它们实在不安全

关于 MS-CHAPv2 安全性的分析

https://www.docin.com/p-382315274.html

但是事情更加的糟糕

潜在的监听者对兵马俑甚至都不用破译。RSA 研究证实兵马俑结点明文传输用户凭证。


Originally published at www.dun.im on November 25, 2015.


Like it? Share with your friends!

0
DUN

Choose A Format
Story
Formatted Text with Embeds and Visuals
List
The Classic Internet Listicles
Countdown
The Classic Internet Countdowns
Open List
Submit your own item and vote up for the best submission
Ranked List
Upvote or downvote to decide the best list item
Video
Youtube and Vimeo Embeds